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Datenschutz bei der Zusammenarbeit deutscher Finanzdienstleister 
mit IT-Unternehmen insbesondere aus den USA vor dem Hintergrund 
des NSA-Skandals 


Vorbemerkung der Fragesteller 

Die Allianz SE, das weltgrößte Versicherungsuntemehmen, möchte zukünftig 
ihre Rechenzentren auslagern und an das amerikanische IT-Unternehmen IBM 
übergeben. Dies wirft unter anderem datenschutzrechtliche sowie verbraucher- 
schutzpolitische Probleme auf, denn im Zuge der NSA-Affäre steht die glaub- 
würdige Behauptung, der amerikanische Geheimdienst NSA habe mit vielen 
US-amerikanischen Flerstellem von Computersoftware und -hardware und vie- 
len IT-Dienstleistem geheime Abkommen, die der NSA Zugang zu deren Da- 
tennetzwerken eröffnen, im Raum. Es kann derzeit nicht ausgeschlossen wer- 
den, dass die NSA über amerikanische Unternehmen wie IBM Zugriff auf sen- 
sible Daten deutscher Kreditinstituts- und Versicherungskunden erhält. Deut- 
sche Unternehmen müssen aber von Gesetzes wegen den Schutz der Daten 
ihrer Kunden sicherstellen und unterliegen dabei erheblichen Sorgfaltspflich- 
ten. Der Landesbeauftragte für den Datenschutz Schleswig-FIolstein, Dr. Thilo 
Weichert, äußerte daher bereits starke Bedenken: „Angesichts der Erkenntnisse 
um die Ausspähaktionen durch US-Geheimdienste wäre es unverantwortlich, 
europäische Kundendaten in den USA verarbeiten zu lassen“ (taz.die tageszei- 
tung vom 26. November 2013). 


1 . Ist es aus Sicht der Bundesregierung im Sinne der einschlägigen Gesetzes- 
lage (z. B. Bundesdatenschutzgesetz, aber auch finanzsektorspezifische Re- 
gulierungen wie z. B. die Mindestanforderungen an das Risikomanagement — 
MaRisk) ausreichend, wenn ein Finanzdienstleistungsunternehmen seine 
Kooperation mit einem externen IT-Dienstleister, der im Auftrag des Fi- 
nanzdienstleistungsuntemehmens Daten verarbeitet, erst dann auf den Prüf- 
stand stellt, wenn diesem externen Dienstleister Verletzungen des Daten- 
schutzes nachgewiesen bzw. von diesem eingestanden wurden, oder gebie- 
ten die Sorgfaltspflichten, dass das Finanzdienstleistungsuntemehmen die 
Kooperation mit dem externen IT-Dienstleister auch schon bei einem be- 
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gründeten Verdacht auf Datenschutzverletzungen (z. B. im Fall behörd- 
licher Ermittlungen oder Offenlegungen durch Whi stieblower) auf den 
Prüfstand stellen? 

Maßgebend sind die Regelungen in § 1 1 des Bundesdatenschutzgesetzes (BDSG), 
der bereits jetzt regelt, dass bei Vertragsabschluss hinreichende Regelungen zu 
Maßnahmen gemäß § 9 BDSG nebst Anlage detailliert dargelegt werden müs- 
sen. Weiterhin fordert § 11 Absatz 2 Satz 2 Nummer 3 BDSG, dass der Auftrag- 
nehmer unter besonderer Berücksichtigung der Eignung der von ihm getroffe- 
nen technischen und organisatorischen Maßnahmen sorgfältig auszuwählen ist. 
Der Auftrag ist schriftlich zu erteilen, wobei insbesondere die nach § 9 BDSG 
zu treffenden technischen und organisatorischen Maßnahmen festzulegen sind. 
Nach § 1 1 Absatz 2 Satz 4 BDSG hat sich der Auftraggeber vor Beginn der Da- 
tenverarbeitung und sodann regelmäßig von der Einhaltung der beim Auftrag- 
nehmer getroffenen technischen und organisatorischen Maßnahmen zu überzeu- 
gen. Das Ergebnis ist zu dokumentieren. Diese Regelung setzt also voraus, dass 
vor Beginn der Verarbeitung eine Prüfung stattfindet. 


2. Ab welchem Umfang von datenschutzrechtlichen Verfehlungen eines be- 
auftragten IT-Dienstlei Sters ist ein Finanzdienstleistungsunternehmen ver- 
pflichtet, die Kooperation mit diesem IT-Dienstleister unverzüglich zu 
beenden, und wie groß ist der Ermessensspielraum des Finanzdienstleis- 
tungsuntemehmens bei dieser Entscheidung? 

Datenschutzrechtliche Verfehlungen lassen sich nicht einfach quantifizieren. 
Die Einhaltung des BDSG sowie anderer Vorschriften über den Datenschutz 
liegt in der Verantwortung der Personen, die das Unternehmen vertreten. Sie 
werden dabei von der zuständigen Aufsichtsbehörde kontrolliert, § 38 Absatz 1 
BDSG. 


3. Welche Rolle spielt es für die Beantwortung der Fragen 1 und 2, ob der ex- 
terne IT-Dienstleister seine Dienstleistung im ln- bzw. Ausland erbringt 
oder seinen Sitz im ln- bzw. Ausland hat? 

Welche Rolle spielt der Unterschied zwischen EU-Ausland, Drittstaaten im 
Allgemeinen und den USA im Besonderen, und welche Rolle spielt in 
diesem Zusammenhang jeweils der § 1 1 des Bundesdatenschutzgesetzes 
(BDSG)? 

Unabhängig davon, ob der externe IT-Dienstleister seine Dienstleistung im In- 
bzw. Ausland erbringt oder seinen Sitz im In-bzw. Ausland hat, bleibt das beauf- 
tragende Finanzdienstleistungsuntemehmen weiterhin verantwortliche Stelle im 
Sinne des § 3 Absatz 7 BDSG und damit den Verpflichtungen des § 1 1 BDSG 
und der Kontrolle durch die zuständige Aufsichtsbehörde unterworfen. 

Ein Datentransfer in einen Drittstaat ist nach den Vorschriften der Artikel 25 
und 26 der Europäischen Datenschutzrichtlinie verboten, wenn dieser über kein 
dem EU-Recht vergleichbares Datenschutzniveau verfügt. Dies trifft auf die 
USA zu, da es dort keine umfassenden gesetzlichen Regelungen zum Daten- 
schutz gibt, die dem europäischen Standard entsprechen. Allerdings sieht Arti- 
kel 25 Absatz 6 der Richtlinie vor, dass die Kommission der Europäischen Ge- 
meinschaft die Angemessenheit des Datenschutzes in einem Drittland feststellen 
kann, wenn dieses bestimmte Anforderungen erfüllt. 

Zu diesem Zweck wurde das so genannte Safe-Harbor-Modell entwickelt. Bei 
„Safe Harbor“ handelt es sich um eine zwischen der Europäischen Union und 
den USA im Jahr 2000 getroffene Vereinbarung, die gewährleistet, dass perso- 
nenbezogene Daten legal in die USA übermittelt werden können, ln den USA 
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tätige Unternehmen, die sich dem „Safe-Harbor“-Modell angeschlossen haben, 
sind vor der Sperrung des Datenverkehrs sicher, andererseits wissen europäische 
Unternehmen, die personenbezogene Daten an in den USA tätige Firmen über- 
mitteln, dass sie keine zusätzlichen Garantien verlangen müssen. Die Prüfpflich- 
ten der verantwortlichen Stellen auf deutscher Seite vor einer Übermittlung per- 
sonenbezogener Daten in die USA bleiben jedoch bestehen. 


4. Ist es aus Sicht der Bundesregiemng generell zulässig, sensible Finanzdaten 
deutscher Bank- und Versichemngskunden an ausländische IT-Dienstleister 
weiterzugeben, wenn diese nicht denselben gesetzlichen Datenschutzbe- 
stimmungen wie in Deutschland unterliegen, und welche Rolle spielt hier- 
bei, ob es sich um EU-Mitglieds- oder Drittstaaten handelt (bitte begrün- 
den)? 

Zu den datenschutzrechtlichen Aspekten wird auf die Antwort zu Frage 3 ver- 
wiesen. 


5. Wenn ja, welche rechtlichen (insbesondere datenschutzrechtlichen) Ein- 
schränkungen sind bei einer solchen Auslagemng zu beachten? 

Auf die Antwort zu Frage 4 wird verwiesen. 


6. Wenn nein, wie gedenkt die Bundesregiemng gegen eine solche Auslage- 
mng vorzugehen, und welche Rolle spielt hierbei, ob es sich um EU-Mit- 
glied- oder Drittstaaten handelt? 

Auf die Antwort zu Frage 4 wird verwiesen. 


7. Teilt die Bundesregiemng die Aussage des Landesbeauftragten für den 
Datenschutz Schleswig-Flolstein, Dr. Thilo Weichert, „Angesichts der Er- 
kenntnisse um die Ausspähaktionen durch US-Geheimdienste wäre es 
unverantwortlich, europäische Kundendaten in den USA verarbeiten zu las- 
sen“ (taz.die tageszeitung vom 26. November 2013)? 

Wenn nein, wamm nicht? 

Zuständig ist jeweils die Datenschutzaufsichtsbehörde des Landes, in dem das 
Finanzdienstleistungsuntemehmen seinen Sitz hat. Diese ist in ihrer Aufgaben- 
erfüllung völlig unabhängig. Dies umfasst auch die Bewertung der Einhaltung 
datenschutzrechtlicher Regelungen durch nichtöffentliche Stellen, weshalb die 
Bundesregierung von einer öffentlichen Stellungnahme absieht. 


8 . Welche Behörden sind für die Überprüfung der Einhaltung der datenschutz- 
rechtlichen Bestimmungen seitens Finanzdienstleistungsunternehmen zu- 
ständig, und welche Kontrollinstmmente stehen diesen Behörden zur 
Verfügung? 

Die Kontrolle der Einhaltung der datenschutzrechtlichen Bestimmungen obliegt 
den zuständigen Aufsichtsbehörden, § 38 BDSG. Dies sind für den nichtöffent- 
lichen Bereich die Datenschutzaufsichtsbehörden der Länder. Ihnen stehen die 
Kontroll- und Sanktionsmöglichkeiten des BDSG zur Verfügung. 
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9. Welche Rolle kommt bei der Überprüfung des Datenschutzes der Bundes- 
anstalt für Finanzdienstleistungsaufsicht (BaFin), z. B. im Rahmen der 
Aufsicht über die Einhaltung der MaRisk, zu? 

Die BaFin hat grundsätzlich keine direkte Zuständigkeit für die Einhaltung von 
datenschutzrechtlichen Regelungen. Sie erwartet von den von ihr beaufsichtig- 
ten Unternehmen, dass sie die datenschutzrechtlichen Vorgaben erfüllen. Sie be- 
rücksichtigt Datenschutzverstöße im Rahmen ihrer aufsichtsrechtlichen Tätig- 
keit, sofern sie auf eine nicht ordnungsgemäße Geschäftsorganisation hindeuten. 

ln der Bankenaufsicht gilt, dass gemäß Abschnitt AT 7.2 Tz. 2 der Mindestan- 
forderangen an das Risikomanagement (MaRisk-Rundschreiben 10/2012) die 
IT-Systeme (Hardware- und Software-Komponenten) und die zugehörigen IT- 
Prozesse die Integrität, die Verfügbarkeit, die Authentizität sowie die Vertrau- 
lichkeit der Daten sicherstellen müssen. Für diese Zwecke ist bei der Ausgestal- 
tung der IT-Systeme und der zugehörigen IT-Prozesse grundsätzlich auf gängige 
Standards abzustellen, insbesondere sind Prozesse für eine angemessene IT-Be- 
rechtigungsvergabe einzurichten, die sicherstellen, dass jeder Mitarbeiter nur 
über die Rechte verfügt, die er für seine Tätigkeit benötigt. Die Eignung der IT- 
Systeme und der zugehörigen Prozesse ist regelmäßig von den fachlich und 
technisch zuständigen Mitarbeitern zu überprüfen. 

Soweit ein Finanzdienstleistungsinstitut Daten bzw. die Verarbeitung seiner 
Daten auslagert, hat das Institut gemäß Abschnitt AT 9 Tz. 6e MaRisk im Aus- 
lagerungsvertrag sicherzustellen, dass das Unternehmen, an welche das Institut 
auslagert, die datenschutzrechtlichen Bestimmungen beachtet. Die Einhaltung 
dieser Vorschrift wird von der Aufsicht ebenfalls überwacht. 

Für die übrigen Aufsichtsbereiche gelten weitgehend analoge Regelungen, etwa 
für Versicherer: § 64a des Versicherungsaufsichtsgesetzes und Rundschreiben 
3/2009 [VA] zu den Mindestanforderungen an das Risikomanagement; § 33 des 
Wertpapierhandelsgesetzes in Verbindung mit § 25a des Kreditwesengesetzes 
und Rundschreiben 5/2010 [WA] zu den Mindestanforderungen an das Risiko- 
management für Investmentgesellschaften (InvMaRisk). Nach den letztgenann- 
ten Vorschriften müssen Kapitalverwaltungsgesellschaften interne Organisa- 
tionsrichtlinien erstellen und beachten, welche Regelungen beinhalten, die die 
Einhaltung gesetzlicher Bestimmungen sowie sonstiger Vorgaben (z. B. Daten- 
schutz) gewährleisten (Nummer 5 Ziffer 3k InvMaRisk). Zudem legt Nummer 9 
Ziffer 6e InvMaRisk fest, dass bei Auslagerungen im Auslagerungsvertrag ins- 
besondere Regelungen, die sicherstellen, dass datenschutzrechtliche Bestim- 
mungen beachtet werden, vereinbart werden. 

Die Aufsicht erwartet, dass sich Institute auch mit sich abzeichnenden Risiken 
auseinandersetzen und nicht erst, wenn Unternehmen Mängel im Datenschutz 
nachgewiesen werden. Die BaFin kann nach den oben beispielhaft genannten 
gesetzlichen Regelungen Datenschutzverstößen der Institute nachgehen, wenn 
diese Anhaltspunkte für Defizite im Hinblick auf eine ordnungsgemäße Ge- 
schäftsorganisation bieten. 


10. Spielen bei der Überwachung des Datenschutzes durch Aufsichtsbehörden 
ausschließlich kundenbezogene Aspekte (Persönlichkeitsrechte etc.) eine 
Rolle, oder kann aus Sicht der Bundesregiemng die Nichteinhaltung da- 
tenschutzrechtlicher Verpflichtungen durch Finanzdienstleistungsunter- 
nehmen auch eine Gefährdung eines oder mehrerer Finanzdienstleistungs- 
untemehmen oder sogar systemische Risiken für die Stabilität des Finanz- 
sektors insgesamt zur Folge haben? 

Auf die Antwort zu Frage 8 wird verwiesen. Die Datenschutzaufsichtsbehörden 
der Länder sind in ihrer Aufgabenerfüllung völlig unabhängig. 
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Derzeit liegen der Bundesregierung keine Erkenntnisse vor, dass die Nichtein- 
haltung datenschutzrechtlicher Verpflichtungen durch Finanzdienstleistungsun- 
temehmen auch eine Gefährdung eines oder mehrerer Finanzdiensfleisfungsun- 
temehmen oder sogar sysfemische Risiken für die Sfabilifäf des Finanzsekfors 
insgesamf zur Folge haben kann. 


1 1 . Wie häufig wird die Einhaltung der datenschutzrechtlichen Bestimmun- 
gen von der BaFin oder anderen Behörden durchschnittlich geprüft? 

Bei welchen Finanzdienstleistungsuntemehmen wird die Einhaltung der 
datenschutzrechtlichen Bestimmungen routinemäßig geprüft? 

Bei welchen Finanzdienstleistungsuntemehmen bedarf es eines konkreten 
Anlasses bzw. Anfangsverdachts, damit eine entsprechende Prüfung statt- 
fmdet? 

Die Überwachung dafenschufzrechtlicher Bestimmungen gehört nicht zu den 
Aufgaben der BaFin und wird mit Ausnahme des in der Antwort zu Frage 9 dar- 
gelegten geschäftsorganisatorischen Aspektes nicht geprüft. 

Organisatorische Defizite mit Blick auf den Datenschutz wurden der BaFin auch 
nicht von Wirtschaftsprüfern im Rahmen der jährlichen Berichterstattung über 
die Einhaltung der regulatorischen Vorgaben (u. a. der diversen MaRisk) mitge- 
teilt. Vor diesem Hintergrund hat die BaFin bisher keine Veranlassung gehabt, 
das Thema Datenschutz im Rahmen von Aufsichtsgesprächen oder auf andere 
Art und Weise besonders zu problematisieren. 


12. Wie viele Prüfungen auf Einhaltung datenschutzrechtlicher Bestimmun- 
gen hat die BaFin in den vergangenen drei Jahren durchgeführt (bitte nach 
Kreditinstituten, Versichemngen und Wertpapierdienstleistungsunterneh- 
men aufschlüsseln)? 

Wie viele davon waren routinemäßig, wie viele davon waren anlassbezo- 
gen? 

Die BaFin hat speziell mit Blick auf die Einhaltung datenschutzrechtlicher 
Bestimmungen keine Prüfungen bei den von ihr überwachten Instituten durch- 
geführt. 


13. Wie waren die Prüfüngsergebnisse (bitte nach Art und Schwere der 
Beanstandungen aufschlüsseln)? 

Auf die Antwort zu Frage 12 wird verwiesen. 


14. Wie bewertet die Bundesregiemng vor dem Hintergmnd der Enthüllungen 
im NSA-Überwachungsskandal, dass Booz Allen Hamilton, die ehema- 
lige Firma des Whistleblowers Edward Snowden, einen Auftrag des Bun- 
desministeriums der Finanzen zur Organisationsentwicklung der BaFin 
erhalten hatte (Antwort auf die Schriftliche Frage 11 auf Bundestags- 
dmcksache 18/115), und sieht sie diesbezüglich sicherheits- und daten- 
schutzrechtliche Probleme (bitte begründen)? 

Die BaFin vergibt Aufträge an externe Dienstleister wie Booz Allen Hamilton 
entsprechend dem geltenden Vergaberecht. Im Rahmen des Vergabeverfahrens 
wird die Eignung des Dienstleisters mit Blick auf den zu erfüllenden Auftrag 
überprüft. Zum Zeitpunkt der Auftragsvergabe im Jahr 2003 gab es keine Be- 
denken gegen die Eignung von Booz Allen Hamilton. Der Auftrag an Booz 
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Allen Hamilton zielte darauf ab, die Entwicklung von Vorschlägen für die Opti- 
mierung der Aufbau- und Ablauforganisation der BaFin zu unterstützen, nicht 
jedoch Detailfragen der Aufsichtsarbeit einer Überprüfung zu unterziehen. 

Die Untersuchung endete mit Empfehlungen zur Aufbau- und Ablauforganisa- 
tion auf einem hohen Abstraktionsniveau. Für die Konkretisierang der Empfeh- 
lungen wurde die Hilfe von Booz Allen Hamilton nicht weiter in Anspruch 
genommen. 

Aus Sicht der BaFin wurden durch die Zusammenarbeit mit Booz Allen 
Hamilton weder sicherheits- noch datenschutzrechtliche Probleme aufgeworfen. 


15. Welche Kreditinstitute, Versichemngen und Wertpapierhandelsunterneh- 
men bedienen sich nach Kenntnis der Bundesregiemng zur Verarbeitung 
ihrer Kundendaten externer IT-Dienstleister? 

An welches Unternehmen erfolgte wann die Auslagemng? 

Üblicherweise erfolgt die Verarbeitung von Daten bei externen IT-Dienstleistem 
auf Grund von Dienstleistungsverträgen, die weder einer Genehmigung bedür- 
fen noch der Aufsichtsbehörde routinemäßig vorgelegt werden müssen. Die 
Bundesregierung kann die Frage mit den ihr vorliegenden Unterlagen daher 
nicht beantworten. 


16. Wie viele und welche Finanzdienstleistungsuntemehmen haben nach 
Kenntnis der Bundesregiemng dabei die Verarbeitung ihrer Kundendaten 
zu IT-Dienstleistem ins Ausland verlagert? 

Auf die Antwort zu Frage 1 5 wird verwiesen. 


17. Sind der Bundesregiemng außer der Allianz SE noch weitere Finanz- 
dienstleistungsuntemehmen bekannt, die eine Auslagemng ihrer Daten- 
verarbeitung an externe IT-Dienstleister erwägen, und wenn ja, um welche 
Unternehmen handelt es sich dabei? 

Konkrete Angaben zu Finanzdienstleistungsuntemehmen, die eine Auslagemng 
ihrer Datenverarbeitung an externe IT-Dienstleister erwägen, unterliegen als 
vertrauliche, im Rahmen der aufsichtsrechtlichen Tätigkeit der BaFin zugäng- 
liche Informationen der Verschwiegenheitspflicht nach § 84 des Versicherangs- 
aufsichtsgesetzes bzw. § 9 des Kreditwesengesetzes. Das öffentliche Bekannt- 
werden der erfragten Informationen hat gmndsätzlich das Potenzial, die Wettbe- 
werbssituation einzelner Unternehmen zu beeinträchtigen. Nach sorgfältiger 
Abwägung mit den Informationsrechten des Deutschen Bundestages und seiner 
Abgeordneten kann in der Sache daher keine Auskunft in der für Kleine Anfra- 
gen nach § 104 i. V. m. § 75 Absatz 3, § 76 Absatz 1 der Geschäftsordnung des 
Deutschen Bundestages (GO BT) vorgesehenen, zur Veröffentlichung in einer 
Bundestagsdmcksache bestimmten Weise erfolgen. Die Antwort wird deshalb 
mit Blick auf die einzelne Unternehmen betreffenden Daten eingestuft in der 
Geheimschutzstelle des Deutschen Bundestages zur Verfügung gestellt.* 


* Das Bundesministerium der Finanzen hat die Antwort als „VS - Vertraulich“ eingestuft. Die Antwort 
ist in der Geheimschutzstelle des Deutschen Bundestages hinterlegt und kann dort nach Maßgabe der 
Geheimschutzordnung eingesehen werden. 
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18. Wie beurteilt die Bundesregierung die Möglichkeit sowie die Wahrschein- 
lichkeit, dass die NSA durch Kooperation mit von deutschen Finanz- 
dienstleistungsuntemehmen beauftragten US-amerikanischen IT-Dienst- 
leistem Zugriff auf Daten deutscher Finanzdienstleistungsuntemehmen 
erhalten kann und davon auch Gebrauch macht? 

Haben deutsche Geheimdienste von der NSA Daten deutscher Finanz- 
dienstleistungsuntemehmen erhalten? 

Ein Zugriff der NSA in Kooperation mit entsprechenden IT-Dienstleistem auf 
Daten deutscher Finanzdienstleistungsuntemehmen ist theoretisch nicht auszu- 
schließen. Allerdings dürfte ein solcher Zugriff regelmäßig rechtswidrig sein. 
Eine Beurteilung der jeweils betroffenen Rechtsvorschriften ist der Bundes- 
regierung jedoch nur aufgrund konkreter Einzelfalle möglich. 

Die Bundesregierung ist nach sorgfältiger Abwägung zu der Auffassung ge- 
langt, dass die Beantwortung des zweiten Teils der Frage 18 nicht in offener 
Form erfolgen kann. Die erbetene Auskunft betrifft im Zusammenhang mit der 
Aufgabenerfüllung des Bundesnachrichtendienstes stehende Informationen. 
Einzelheiten zu Kooperationen und zum Informationsaustausch des Bundes- 
nachrichtendienstes mit anderen Nachrichtendiensten unterliegen der vertrau- 
lichen Behandlung. Ein Verstoß gegen die in diesem Zusammenhang vorausge- 
setzte Vertraulichkeit ließe negative Folgewirkungen für die Quantität und Qua- 
lität des Informationsaustausches befürchten: ein Rückgang von Informationen 
wäre wahrscheinlich, ln der Konsequenz könnte dies zu einer Verschlechterung 
der Fähigkeit des Bundesnachrichtendienstes zur Abbildung der Sicherheitslage 
führen. Darüber hinaus können Angaben zu Art und Umfang des Erkenntnisaus- 
tauschs mit ausländischen Nachrichtendiensten auch Rückschlüsse auf Aufklä- 
rungsaktivitäten und -Schwerpunkte des Bundesnachrichtendienstes zulassen. 
Eine Kenntnisnahme durch Unbefugte würde daher für die Auftragserfüllung 
des Bundesnachrichtendienstes insofern erhebliche Nachteile zur Folge haben. 
Sie könnte die Sicherheit der Bundesrepublik Deutschland gefährden oder ihren 
Interessen schweren Schaden zufügen. Um dem verfassungsrechtlich verbürg- 
ten Frage- und Informationsrecht des Parlaments unter Wahrung der berechtig- 
ten Geheimhaltungsinteressen gleichwohl Rechnung zu tragen, sind die entspre- 
chenden Informationen als Verschlusssache gemäß der Allgemeinen Verwal- 
tungsvorschrift des Bundesministeriums des Innern zum materiellen und orga- 
nisatorischen Schutz von Verschlusssachen (VS-Anweisung — VSA) mit dem 
VS-Grad „GEHEIM“ eingestuft und werden in der Geheimschutzstelle des 
Deutschen Bundestages hinterlegt.* 


19. Was versteht die Bundesregiemng unter dem Terminus „operative Ser- 
vices“, die der IT-Dienstleister aus einem anderen Staat anbietet, insbeson- 
dere aus datenschutz- sowie verbraucherschutzpolitischer Perspektive? 

Es handelt sich nach Kenntnis der Bundesregierung nicht um einen Begriff, dem 
sich im Geschäftsverkehr ein konkreter Inhalt zuordnen lässt. 


* Das Bundesministerium der Finanzen hat die Antwort als „VS - Geheim“ eingestuft. Die Antwort ist in 
der Geheimschutzstelle des Deutschen Bundestages hinterlegt und kann dort nach Maßgabe der 
Geheimschutzordnung eingesehen werden. 
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20. Inwieweit verfügt die Bundesregierung über Kenntnisse, ob und inwieweit 
deutsche Kundendaten von Kreditinstituten, Versicherungen und Wert- 
papierhandelsuntemehmen in einer so genannten Cloud verarbeitet wur- 
den oder werden, die ihrerseits auch mit Rechenzentren in Staaten verbun- 
den ist, die keinen aus deutscher Sicht hinreichenden Datenschutz sicher- 
stellen? 

Unter einer Cloud versteht man einen Verbund externer Speicher- und oder Ser- 
versysteme, mit dem entsprechende IT-Dienstleistungen erbracht werden. 

Der Bundesregierung liegen keine Hinweise darauf vor, dass Versicherer aktuell 
Cloud-Lösungen Unternehmens- oder konzemextemer Anbieter (gleich welcher 
Nationalität des Anbieters) zur Speicherung und Verarbeitung von Daten einset- 
zen. 

Im Bankenbereich wird nach derzeitigem Kenntnisstand von der Auslagerang 
der Kundendaten per Auslagerangsvertrag in Private Clouds (gegebenenfalls 
von dritten Service Providern) Gebrauch gemacht. Der Bundesregierung liegen 
keine Erkenntnisse vor, dass dabei gegen die in der Antwort zu Frage 3 darge- 
legten Anforderungen verstoßen wird. 


21. Falls solche Kenntnisse bestehen, um wie viele und welche Kreditinsti- 
tute, Versicherangen und Wertpapierhandelsuntemehmen handelt es sich 
dabei im Einzelnen? 

ln welchen Staaten befanden oder befinden sich die entsprechenden ver- 
bundenen Rechenzentren? 

Auf die Antwort zu Frage 20 wird verwiesen. 


22. Inwieweit haben die Bundesregierang bzw. deutsche Behörden (z. B. im 
Wege der Aufsicht) selbst Zugriffsmöglichkeiten auf eine Cloud deutscher 
F inanzdienstleistungsuntemehmen? 

Der Zugriff deutscher Behörden auf Einrichtungen oder Daten einer sogenann- 
ten Cloud richtet sich nach den Regeln der Sicherstellung/Beschlagnahme und 
Durchsuchung und ist zu Gefahrenabwehr- und Strafverfolgungszwecken bei 
Vorliegen der gesetzlichen Voraussetzungen zulässig. Entsprechende Befug- 
nisse lassen sich z. B. in der StPO (§§ 94 ff, 110 StPO) und in den Landespoli- 
zeigesetzen sowie dem BKA-Gesetz finden. Ein Zugriff ist nur dann möglich, 
wenn sich die Technik, auf die zugegriffen werden soll, auf deutschem Hoheits- 
gebiet befindet. Ein Zugriff der Bundesregierung auf die „Cloud deutscher 
Finanzdienstleistungsuntemehmen“ besteht nicht. 

Die BaFin ist im Rahmen der laufenden Aufsicht befugt, von den beaufsichtig- 
ten Unternehmen Auskünfte über alle aufsichtsrelevanten Geschäftsangelegen- 
heiten sowie Vorlage oder Übersendung aller Geschäftsunterlagen zu verlangen, 
siehe etwa § 83 Absatz 1 Satz 1 Nummer 1 des Versicherangsaufsichtsgesetzes; 
§ 25b Absatz 3 Satz 1 i. V. m. § 44 Absatz 1 des Kreditwesengesetzes. Eine 
eigene Zugriffsmöglichkeit auf eine Cloud der Unternehmen hat die BaFin dabei 
nicht, die Unterlagen müssen von den unmittelbar beaufsichtigten Unternehmen 
zur Einsichtnahme zur Verfügung gestellt werden. 


23. Welche Daten in einer solchen Cloud können von wem in welcher De- 
tailliertheit und auf welcher Rechtsgrundlage abgefragt werden? 


Auf die Antwort zu Frage 22 wird verwiesen. 
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24. Welche Informationen und Erkenntnisse, insbesondere unter datenschutz- 
und verbraucherschutzrechtlichen Gesichtspunkten (insbesondere im 
Zuge des NSA-Skandals), liegen der Bundesregierung bezüglich des Un- 
ternehmens IBM als Outsourcingpartner vor, nachdem dieses Unternehmen 
nach den Rechenzentren der Elektronikmarktkette Media-Satum-Holding 
GmbH (seit dem Jahr 2008, vgl. Pressemitteilung vom 10. Dezember 2008 
auf www.presseportal.de) auch die zentralen EDV-Strukturen des Versi- 
cherungsunternehmens Allianz SE übernehmen soll? 

Inwieweit und in welcher Form bestehen Informationsaustausch und Kon- 
trollmöglichkeiten, auch gemeinsam mit amerikanischen Behörden (bitte 
aufschlüsseln)? 

Sofern die Firma IBM personenbezogene Daten der o. g. Unternehmen verarbei- 
tet, handelt es sich dabei um eine privatrechtliche Auftragsdatenverarbeitung, 
für die die einschlägigen gesetzlichen Bestimmungen einzuhalten sind. Insofern 
liegen der Bundesregierung keine Erkenntnisse zur Ausgestaltung und Umset- 
zung solcher Vertragsverhältnisse vor. Kontrollmöglichkeiten für die Auftrags- 
datenverarbeitung bestehen für die zuständigen datenschutzrechtlichen Auf- 
sichtsstellen. Hierzu wird auch auf die Antwort zu Frage 8 verwiesen. 

Um Verstößen gegen Safe-Harbor-Prinzipien entgegenzuwirken, arbeiten nach 
entsprechenden Ausführungen auf der Homepage des Bundesbeauftragten für 
den Datenschutz und die Informationsfreiheit die zuständigen Behörden in den 
USA und die EU-Datenschutzbehörden eng zusammen. Besondere Bedeutung 
habe dabei auch die Frage, wie die Betroffenen, also Organisationen, Verbrau- 
cher und Untemehmensmitarbeiter besser über die sich aus der Vereinbarung er- 
gebenden Rechte unterrichtet werden können. 

Gesetzliche Kontrollmöglichkeiten gemeinsam mit amerikanischen Behörden 
bestehen nicht. Welche vertraglichen Kontrollmöglichkeiten in dem endgültigen 
Dienstleistungsvertrag für IT-Operations beim Betrieb der Rechenzentren mit 
IBM vom 20. Dezember 2013 (siehe Pressemitteilung der Allianz im Internet) 
festgelegt sind, ist nicht bekannt, da derartige Verträge weder einer Genehmi- 
gungs- noch Vorlagepflicht unterliegen. 


25. Was gedenkt die Bundesregiemng im Weiteren zu unternehmen, um Da- 
tenschutzverletzungen und Datenmissbrauch durch geheimdienstliche 
Abschöpfung von Daten deutscher Finanzdienstleistungsunternehmen 
bzw. der von ihnen beauftragten IT-Dienstleister ggf. aufzudecken und zu 
verhindern? 

Die Bundesregierung hat keine Erkenntnisse, dass Daten deutscher Finanz- 
dienstleistungsuntemehmen oder der von Ihnen beauftragten IT-Dienstleister 
durch Geheimdienste abgeschöpft oder missbraucht werden. Sollten sich kon- 
krete Hinweise auf Datenschutzverletzungen und Datenmissbrauch ergeben, ist 
es Aufgabe der für den Datenschutz zuständigen Stellen bzw. der Strafverfol- 
gungsbehörden, den Sachverhalt zu ermitteln und die Rechtsverletzungen abzu- 
stellen. 


26. Ist von Seiten der Bundesregiemng diesbezüglich eine konkrete politische 
Initiative angedacht, und wenn ja, wie sieht diese aus? 

Die Bundesregierung klärt die im Zusammenhang mit den Veröffentlichungen 
auf Basis des Materials von Edward Snowden geäußerten Vorwürfe umfassend 
auf Dazu steht sie u. a. in regelmäßigen Kontakt mit britischen und amerikani- 
schen Stellen. Erst nach ausreichender Klärung des Sachverhalts wird die Bun- 
desregierung ggf. erforderliche Maßnahmen einleiten. 
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Unabhängig davon unterstützt die Bundesregierung geeignete politische Initia- 
tiven. So hat vor kurzem die Vollversammlung der Vereinten Nationen eine Re- 
solution zum Schutz der Privatsphäre angenommen, die auf eine Initiative von 
Deutschland und Brasilien zurückgeht. Deutschland setzt sich weiter dafür ein, 
dass der Schutz der Bürgerinnen und Bürger bei Drittstaatenübermittlungen 
deutlich verbessert wird. Dies gilt insbesondere für Safe Harbor. Für Modelle 
wie Safe Harbor sollte in der neuen europäischen Datenschutz-Grundverord- 
nung ein robuster Rechtsrahmen mit klaren Vorgaben für Garantien der Bürge- 
rinnen und Bürger geschaffen werden. Ziel sollte es insbesondere sein, die Indi- 
vidualrechte der Bürgerinnen und Bürger zu stärken und ihnen bessere Rechts- 
schutzmöglichkeiten zur Verfügung zu stellen, die Registrierung der US-Unter- 
nehmen in der EU vorzunehmen und die staatliche Kontrolle seitens der EU- 
Datenschutzaufsichtsbehörden in Modellen wie Safe Harbor zu stärken. 


27. Wie beurteilt die Bundesregiemng Datenschutzverletzungen im Zusam- 
menhang mit dem NSA-Skandal vor dem Hintergrund des Transparenzge- 
bots als Ausfluss des informationeilen Selbstbestimmungsrechts der Bür- 
gerin bzw. des Bürgers nach Artikel 2 Absatz 1 des Gmndgesetzes (GG) 
i. V. m. Artikel 1 Absatz 1 GG? 

Sofern Datenschutzverletzungen den Tatbestand gesetzlicher Verbote erfüllen 
bzw. gesetzliche Gebote missachten, ist ein Rückgriff auf das Grundgesetz nicht 
erforderlich. Verstöße gegen geltendes Recht sind in diesen wie in allen anderen 
Fällen nicht hinzunehmen. 




Gesamtherstellung: H. Heenemann GmbH & Co., Buch- und Offsetdruckerei, Bessemerstraße 83-91, 12103 Berlin, www.heenemann-druck.de 
Vertrieb: Bundesanzeiger Verlagsgesellschaft mbH, Postfach 10 05 34, 50445 Köln, Telefon {02 21)97 66 83 40, Fax (02 21) 97 66 83 44, www.betrifft-gesetze.de 

ISSN 0722-8333 



